Forense Computacional com Sleuth Kit + The Autopsy Forensic

ICCyber’2004
I Conferência Internacional de Perícias em Crimes Cibernéticos
Forense Computacional com
Sleuth Kit + The Autopsy Forensic Browser
Ricardo Kléber Martins Galvão
Universidade Federal do Rio Grande do Norte
Superintendência de Informática – Gerência de Redes
NARIS – Núcleo de Atendimento e Resposta a Incidentes de Segurança
TCT – The Coroner’s Toolkit
• Coleção de ferramentas (scripts Perl) para análise “post-mortem”
de sistemas UNIX
• Dan Farmer (Earthlink) e Wietse Venema (IBM) – 08/1999
• Ferramentas mais conhecidas:
• grave-robber: captura de informações
• ils / mactime: informações sobre acesso a arquivos
• findkey: recuperação de chaves criptográficas
• unrm / lazarus: recuperação de arquivos apagados
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
TCT – The Coroner’s Toolkit
• Conjunto de ferramentas largamente utilizadas em atividades
periciais (recuperação de dados apagados p.ex.)
• unrm + lazarus
• Visualização via browser
• Identificação de tipo (provável) de dado recuperado
baseado em legenda
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
TCT – The Coroner’s Toolkit
• Coleta de dados (varredura de áreas “apagadas”)
unrm /dev/hdb1 >> imagem.out
• Geração de código HTML para análise
lazarus -h -D . –H . -w . imagem.out
-h cria um documento HTML (visualizado por qualquer browser);
-D <dir> direciona a escrita dos blocos para um diretório específico;
-H <dir> direciona os principais arquivos HTML para um diretório específico;
-w <dir> direciona outras saídas HTML para um diretório específico.
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
TCT – The Coroner’s Toolkit
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
TCT – The Coroner’s Toolkit
Limitações do TCT :
• Tipo de Partição Investigada
• Não reconhece partições NTFS, FAT e EXT3
• Interface Pouco Amigável
• Necessário conhecimento de legendas
• Ausência de mecanismo de catalogação de perícias realizadas
• Framework ???
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Sleuth Kit
• Coleção de ferramentas para análise de sistemas
• Capaz de analisar sistemas de arquivos NTFS, FAT, UFS, EXT2 e EXT3
• Brian Carrier – 2002
• Inicialmente chamado T@SK - The @stake Sleuth Kit
• Baseado no TCT
Brian Carrier desenvolveu, antes do T@SK um conjunto de ferramentas
que utilizam funções e estruturas do TCT provendo funcionalidades
extras. A estas ferramentas deu o nome de TCTUTILS
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Ferramentas para Sistemas de Arquivos
• fstat – Exibe detalhes do sistema de arquivos como
layout, tamanho e nome do volume.
Ferramentas para Nomes de Arquivos
• ffind – Busca nomes de arquivos alocados e não-alocados.
• fls – Lista nomes de arquivos e diretórios em uma imagem.
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Ferramentas para Manipulação de i-nodes
• icat – Extrai as unidades de dados de um arquivo,
especificado por um número de i-node
• ifind – Realiza buscas por i-nodes
• ils – Lista a estrutura de i-nodes e seus conteúdos
delimitados por pipes
• istat – Exibe detalhes sobre a estrutura dos i-nodes
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Ferramentas para Unidades de Dados
• dcat – Extrai o conteúdo de uma unidade de dados
• dls – Lista detalhes sobre unidades de dados, inclusive
espaços não alocados de um sistema de arquivos
• dstat – Estatísticas sobre um determinado bloco de dados
• dcalc – Calcula onde os dados em uma imagem de espaços não
alocados (geradas a partir de um dls) estão
localizados na imagem original
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Ferramentas para Gerenciamento de Mídias
• mmls – Exibe o layout de um disco, incluindo espaços não
alocados (identificando, por exemplo, o tipo de
de partição e o tamanho)
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
• Interface gráfica (escrita em Perl) para o Sleuth Kit
• Baseada em HTML, semelhante a um gerenciador de arquivos
• Permite analisar arquivos, diretórios, blocos de dados e i-nodes
(alocados ou apagados) em uma imagem de sistema de arquivos ou
em um arquivo gerado pelo dls.
• Permite a busca por palavras-chave ou expressões regulares.
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
• Pode ser executado diretamente no sistema comprometido (ideal
em casos onde não é possível extrair imagens do sistema de arquivos)
• Monta um framework com possibilidade de armazenamento de
casos (Cases) periciais para eventual análise posterior.
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Inicialização do Autopsy (referência do link para abrir via browser)
root@estacaopericia:~# autopsy &
[1] 1074
root@estacaopericia:~#
============================================================================
Autopsy Forensic Browser
http://www.sleuthkit.org/autopsy/
ver 1.75
============================================================================
Evidence Locker: /var/lib/autopsy/
Start Time: Sat Sep 04 09:59:26 2004
Remote Host: localhost
Local Port: 9999
Open an HTML browser on the remote host and paste this URL in it:
http://localhost:9999/34346426042338741437/autopsy
Keep this process running and use <ctrl-c> to exit
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Tela Principal do Autopsy
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Galeria de ‘Cases’ (Case Gallery)
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Galeria de Hosts (Host Gallery)
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Gerenciador de Hosts (Host Manager)
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Criando um Novo ‘Case’
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
The Autopsy Forensic Browser
Adicionando uma Nova Imagem
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso: Scan do Mês 24 (Outubro/2002)
• Desafio: Analisar a imagem recuperada de um disquete e
responder as questões propostas.
1. Quem são os fornecedores de maconha de Joe Jacobs e qual
o endereço informado pelo fornecedor?
2. Que dados cruciais estão disponíveis dentro do arquivo
coverpage.jpg e porque estes dados são cruciais?
3. Quais (se existe alguma) outras escolas além da Smith Hill
Joe Jacobs frequenta?
4. Para cada arquivo, que procedimentos foram feitos pelo
suspeito para mascará-los dentro de outros?
5. Que procedimentos você (investigador) utilizou para examinar
com sucesso o conteúdo de cada arquivo?
http://www.honeynet.org/scans/scan24/
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Exame de Conteúdo (File Analysis)
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Exame de Conteúdo do arquivo apagado
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Exame de Conteúdo do arquivo Scheduled Visits.exe
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Arquivo .XLS exportado
solicitou senha
Exame de Conteúdo do arquivo Scheduled Visits.exe
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Exame de Conteúdo do arquivo cover page.jpgc
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas do Sleuth Kit
Estudo de Caso – Scan do Mês 24 (Outubro/2002)
Senha da Planilha ???
A planilha contém a lista
solicitada pelo Desafio
Exame de Conteúdo do arquivo cover page.jpgc
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
Ferramentas em ‘Live-CD’
• Professional Hackers Linux Assault Kit (PHLAK)
http://www.phlak.org
• Knoppix security tools distribution (Knoppix-std)
http://www.knoppix-std.org
• Penguin Sleuth Kit Bootable CD
http://www.linux-forensics.com
• Forensic and Incident Response Environment Bootable CD (F.I.R.E)
http://fire.dmzs.com/
Ricardo Kléber – Setembro/2004
Forense Computacional com Sleuth Kit + The Autopsy Forensic Browser
ICCyber’2004
I Conferência Internacional de Perícias em Crimes Cibernéticos
Forense Computacional com
Sleuth Kit + The Autopsy Forensic Browser
Ricardo Kléber Martins Galvão
Universidade Federal do Rio Grande do Norte
Superintendência de Informática – Gerência de Redes
NARIS – Núcleo de Atendimento e Resposta a Incidentes de Segurança